موضوعات مقالات

جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
ایمن نیوز در صفحات
.. سیستم ارسال پیامک ..
آشنائي عملي با حملات Phishing
-(11 نفر) 
آشنائي عملي با حملات Phishing
بازدید 621
گروه: دنياي فن آوري
در حاليکه Phishing از جنبه اجرا و توسعه، داراي مفاهيم کاملاً فني مي باشد، اما در هسته خود يک روش مهندسي اجتماعي به حساب مي آيد. اگر يک Phisher نتواند قرباني را متقاعد به کليک بر روي يک لينک نموده و يا او را با روش ديگري به سايت وب جعلي خود بکشاند، يک فريب Phishing هرگز عملي نخواهد بود.
ما در اين مقاله به بررسي تفاوتهاي مابين تکنيکهاي Phishing و شيوه هائي که Phisherها از آنها براي بهره برداري از کاربران ناآگاه استفاده مي کنند، خواهيم پرداخت. در نهايت، ما يک سايت Phishing را توسعه خواهيم داد، يک قرباني را« Phish» کرده و اين فرآيند را از ديدگاه کاربر قرباني و Phisher بررسي خواهيم نمود.
Phishing در قالبهاي بسيار متفاوتي اجرا مي شود، از يک eMail ابتدائي که اطلاعات حساب کاربري شما را درخواست مي کند گرفته تا سايتهاي وبي که بطور استادانه اي انعکاس کاملي از سايتهاي قانوني بر روي اينترنت را ارائه مي نمايند. براي Phisher، نتيجه نهائي کاملاً يکسان خواهد بود: بدست آوردن اطلاعات شخصي ارزشمند از کاربراني که از سايت جعلي بازديد مي کنند. Phisher در عين حال مي تواند محتواي سايت وب را براي آلوده نمودن کامپيوتر کاربراني که از آن بازديد مي کنند تغيير دهد، روشي که غالباً تحت عنوان « Drive by Downloading» شناخته مي شود.
Phishing به يک تجارت چند ميليون دلاري تبديل شده و بسياري از انواع فعاليتهاي زيرزميني را به خود مشغول کرده است. به همين دليل، متخصصين امنيتي بايد قادر به شناسائي فعاليتهاي Phishing بوده و از توانائي آموزش کاربران نهائي در زمينه نحوه شناسائي پيامهاي وب و eMailهاي Phishing برخوردار باشند.

آموزش معمولاً در قالب يک اتاق مملو از کارآموزان اجباري برگزار مي شود که عملاً به دنبال تکميل ملزومات ساليانه خود در زمينه امنيت کامپيوتري هستند. پس از مطالعه اين مقاله، شما خواهيد توانست يک نمايش زنده از نحوه عملکرد واقعي Phishing را ارائه نموده و با طي کردن چرخه Phishing در کلاسهاي خود، تذکراتي را براي کمک به محافظت از آنها در برابر Phishing تأمين کنيد.

? چرخه Phishing
 

Phishing همانند اکثر فعاليتهاي ديگر، داراي يک چرخه عمر استاندارد است که فرآيند مربوطه در آن جريان خواهد داشت. Phisher بطور معمول از فرآيند نشان داده شده در شکل [1] پيروي مي کند. در حاليکه اين چرخه در اکثر مواقع دنبال مي شود، تنوع هاي بسيار زيادي از آن وجود دارند و مي توان آن را تغيير داد يا به کلي ناديده گرفت.
- مرحله هدفيابي( Targeting): اين مرحله اختياري است و در شرايطي مورد استفاده قرار مي گيرد که يک قرباني خاص يا گروه معيني از قربانيان مورد هدف قرار خواهند گرفت. اگر از اين مرحله استفاده شود، Phisher بايد حمله خود را براساس عادات و حسابهاي کاربري گروه هدف خود توسعه دهد.
- مرحله طرحريزي( Planning): در مرحله طرحريزي، Phisher سايت و يا سايتهائي که مورد سوءاستفاده قرار خواهند گرفت، شيوه تماس با قرباني، محلي که سايت جعلي را ميزباني خواهد کرد و مدت زماني که سايت جعلي نگهداري خواهد شد را تعيين مي کند. Phisher در عين حال تعيين مي کند که آيا کد بدخواهانه اي بر روي کامپيوتر ميزبان بارگذاري خواهد شد و يا اينکه تنها اطلاعات شخصي و حساب او جمع آوري مي گردد.
- مرحله توسعه و برنامه نويسي( Development): در اين مرحله، Phisher يک کپي از سايت وب قانوني و پيامهاي همراهي کننده آن را ايجاد خواهد نمود. بسياري از Phisherها در حال حاضر از سايتهاي وب از پيش کامپايل شده اي استفاده مي کنند که مدت زمان صرف شده در اين مرحله را کاهش مي دهد.
- مرحله بهره برداري( Exploitation): اين نقطه اي است که طرح در آن به مرحله عمل مي رسد. در اين مرحله، Phisher سايت وب جعلي را بر روي ميزبان بارگذاري نموده و ارتباطات مورد نظر( که معمولاً شامل پيامهاي eMail هستند) را براي قرباني ارسال مي کند.
- مرحله نظارت( Monitoring): در اين مرحله، Phisher به نظارت بر سايت ميزبان سايت وب Phishing مي پردازد و هر اطلاعاتي که توسط سايت وب جعلي ضبط شده است را جمع آوري مي نمايد. اگر قرار باشد کد بدخواهانه اي بر روي کامپيوتر قرباني بارگذاري شود، Phisher احتمالاً از اتصال ايجاد شده توسط نرم افزار براي اجراي حملات بعدي بر روي کامپيوتر قرباني با اضافه کردن نرم افزارهاي بيشتري نظير Root-kitها، يا بارگذاري اطلاعات محرمانه از کامپيوتر قرباني، استفاده مي کند.
- مرحله خاتمه دهي( Termination): در بسياري از موارد، اين مرحله توسط Phisher تعيين نمي شود، بلکه يک يا چند نفر از قربانيان آن را پايان مي دهند. اين افراد مي توانند شامل صاحب سايتي که ميزبان سايت وب جعلي است، کاربراني که Phished شده اند و يا حتي مراجع قانوني باشند. در اکثر موارد، سايت وب جعلي توسط شرکت ميزبان از کار مي افتد و سپس معمولاً نوبت به دخالت مراجع قانوني مي رسد که تلاش مي کنند Phisher را بيابند. بسياري از شرکتهاي ميزبان وب حتي از آنکه در حال ميزباني سايتهاي Phishing هستند اطلاع ندارند. اکثر سايتهاي Phishing پيش از 30 روز پس از آغاز کار خود بصورت آنلاين، به اين مرحله مي رسند.

? تعاريف اصطلاحات Phishing
 

Phishing يک اصطلاح کلي براي متقاعد نمودن کاربران به افشاي اطلاعات شخصي و يا حساب کاربري خود است که از طريق تکنيکهاي فريب دهنده انجام مي شود. اين فريبکاري مي تواند در قالب پيامهاي eMail، تماسهاي تلفني و يا حتي نامه هائي که از طريق فکس ارسال مي شوند، صورت مي گيرد. Generic Phishing يک کاربر خاص يا گروه معيني از کاربران را هدف نمي گيرد، بلکه Phisher در اين حالت فهرستهاي از پيش آماده شده اي از آدرسهاي eMail که خريداري نموده و يا شخصاً ايجاد کرده است را مورد استفاده قرار مي دهد. بسياري از اين آدرسها جعلي خواهند بود و عملاً به يک کاربر واقعي منتهي نمي شوند. با اينحال، اگر درصد کوچکي از حسابهاي کاربري واقعي باشند، Phisher فرصت کسب دسترسي غيرمجاز به اطلاعات شخصي و يا حساب کاربري قربانيان را خواهد داشت. اکثر مردم اين نوع پيامها را بعنوان Spam شناسائي مي کنند.
Spear Phishing يک نوع خاص از تکنيکهاي Phishing به حساب مي آيد. در اين نوع حمله، Phisher يک نوع خاص از کاربران را براساس چند معيار از پيش تعريف شده هدف مي گيرد. براي مثال، ممکن است تمام قربانيان هدفگيري شده در اين حمله از مشتريان يک بانک واحد بوده، کارمندان دولتي باشند و يا اينکه براي شرکت واحدي کار کنند. Phisher بايد اهداف خود را از شناسائي انجام شده در مرحله هدفيابي انتخاب نمايد. سپس بايد پيامهائي که بصورت خاصي آماده سازي شده اند براي آن کاربران ارسال گردند. اين نوع Phishing ثابت کرده که بسيار کارآمدتر از Phishing سنتي مي باشد، اما تکميل آن مدت بيشتري طول خواهد کشيد و زحمت بيشتري را به همراه خواهد داشت. در صورتيکه اين حمله مؤثر باشد، اطلاعات خاصي را بازيابي خواهد نمود.
Pharming يک حمله بر روي يک DNS(Domain Name Service) است که به Phisher امکان مي دهد کاربران را از سايت واقعي به سايت Phishing جعلي هدايت نمايد. براي مثال، اگر يک سايت Google جعلي در آدرس 192.168.1.1( بله ما مي دانيم که اين يک آدرس خصوصي به حساب مي آيد، اما اين تنها يک مثال است) راه اندازي شود، يک حمله Pharming بايد آدرس IP سايت Google را از آدرس واقعي آن( 74.125.127.99) به آدرس سايت جعلي Google( 192,168,1,1) تغيير دهد. به اين ترتيب هر کاربري که براي مراجعه به آدرس وب Google تلاش نمايد، به سايت Phishing جعلي هدايت خواهد شد. اين هدايت مجدد مي تواند بر روي يک ماشين واحد با تغيير فايل ميزبان نيز انجام شود. اگر اين حمله موفقيت آميز باشد، کاربران به سايت وب جعلي هدايت خواهند شد، حتي اگر آدرس صحيح را در نوار آدرس مرورگر وب خود تايپ کنند.
با دنبال کردن چرخه عمر Phishing مي توانيم ببينيم که ايجاد يک سايت وب Phishing تا چه حد ساده خواهد بود. با در نظر گرفتن نقش Phisher و دنبال کردن چرخه عمر، مي توان يک سايت جعلي را در مدتي کمتر از يک ساعت ايجاد نمود.

? مرحله هدف يابي
 

ما در مثال خود تلاش خواهيم کرد تا با استفاده از تکنيکهاي Spear Phishing به يک فايروال دسترسي پيدا کنيم. در اين مثال، پرسنل خاصي هدفگيري خواهند شد و از طريق eMail با آنها ارتباط برقرار مي شود. از طريق مکانيزم هاي شناسائي، ما يک فايروال EnGarde را در آدرس 192.168.1.102 يافته ايم. روشهاي بسيار متفاوتي براي جمع آوري اطلاعات درباره اينکه چه کسي صاحب يک شبکه و يا صفحه وب است وجود دارند. بسياري از مردم از ARIN(www.arin.net) و يا Sam Spade(www.samspade..org) استفاده مي کنند اما در اين مورد ما از ويژگي Who Is سايت Go Daddy(http://who.godaddy.com/WhoIsCheck.aspx?prog_idgodaddy) استفاده خواهيم نمود. در تجربه Phishing ما، اين تلاش به يک نام تماس فني بصورت jims.fake.account@gmail.com منتهي مي گردد. اين همان شخصي است که ما براي Phish نمودن او تلاش خواهيم کرد. در دنياي واقعي، ما اميدواريم که آدرس تماس بدست آمده از اين جستجو تحت محافظت قرار داشته و احتمالاً حتي يک حساب eMail براي سوءاستفاده باشد.

? مرحله طرحريزي
 

در مرحله طرحريزي، مشخص شد که صفحه Login يک فايروال Engarde را کپي کرده، از طريق eMail از فايروال با قرباني تماس گرفته و ادعا مي کنيم که مشکلي در رابطه با پيکربندي وجود دارد. ما تنها اطلاعات حساب کاربري را ضبط کرده و اطلاعات را براي دو هفته جمع آوري خواهيم نمود.
اگر قرار بود يک حمله Generic Phishing را ترتيب دهيم، بايد از يک پيام eMail براي يک فهرست عظيم از حسابهاي کاربري استفاده مي کرديم. جستجوهاي ساده Google در وب، مکانهاي متعددي براي خريد آدرسهاي eMail را به شما معرفي خواهند کرد. اولين لينک در جستجوئي که براي اين مقاله انجام شد، يک ميليون آدرس eMail را در مقابل 40 دلار عرضه مي کرد. اين سرويس شامل يک ابزار SpamChecker بود که به عبور پيامها از فيلترهاي Spam کمک مي کرد. Phisher در عين حال بايد يک کپي از يک سايت شناخته شده را کپي نمايد تا شانس گرفتار شدن قربانيان را افزايش دهد.
Phisherهاي واقعي براي محافظت از خود بايد سرورهاي وب موجود بر روي اينترنت را براي ميزباني سايت استثمار ( Exploit) کرده، هزينه آدرسهاي eMail و ساير سرويسها را با کارتهاي اعتباري که قبلاً Phish نموده اند پرداخت کنند. يکبار ديگر اخطار مي کنيم که شما نبايد اين تکنيکها را در خارج از محيطهاي آزمايشگاهي تجربه نمائيم.

? درباره محيط ما
 

در اين نقطه، تشريح محيطي که از آن براي نمايش چرخه Phishing استفاده خواهيم کرد، بسيار مهم است. ما از دو ماشين در VM Ware براي ايفاي نقش سايت Phishing و سايت قانوني که از آن کپي برداري شده است، استفاده کرده ايم. قرباني در اين مثال، ماشيني است که محيط را ميزباني مي نمايد. با اينحال، اگر شما در نظر داريد يک کد بدخواهانه را در فرآيند Phish خود بارگذاري کنيد، بسيار مهم است که براي سيستم قرباني نيز از يک کامپيوتر VM Ware استفاده نمائيد. سايتي که قرار است کپي شود، فايروال Engarde در آدرس 192.168.1.102 است که درگاه سرپرستي آن بصورت 1023( پيش فرض) تنظيم شده. ماشين VMWare دوم، يک Windows Server 2003 است که Apache و PHP با تنظيمات پيش فرض بر روي آن پيکربندي شده اند. شکل [2] محيط ما را نشان مي دهد.

بسياري از کارهائي که يک Phisher واقعي بايستي براي پنهان نمودن اين واقعيت که سايت جعلي است انجام دهد، پياده سازي نشده اند تا به کاربران نهائي نشان داده شود که در شناسائي سايتهاي Phishing به دنبال چه مواردي باشند. يک درس پيشرفته مي تواند شامل قدمهائي براي پنهان نمودن آدرسها در نوار آدرس، نمايش يک قفل در مرورگر وب و بارگذاري کد بدخواهانه بر روي ماشين قرباني باشد.

? مرحله توسعه
 

ما براي توسعه سايت Phishing خود به صفحه Login فايروال Engarde در آدرس http://1023:192.168.1.103 خواهيم رفت. پس از آنکه صفحه بارگذاري شد( با اين فرض که شما تنظيمات پيش فرض ماوس را در مرورگر خود تغيير نداده ايد) بر روي آن کليک راست نموده و سپس گزينه View source را انتخاب کنيد. به اين ترتيب کدي که سايت را ايجاد مي نمايد، نمايش داده خواهد شد. يکبار ديگر بر روي صفحه کليک راست نموده، گزينه Select all و سپس Copy را انتخاب کنيد. حالا Notepad و يا هر ويرايشگر متني مورد علاقه خود را باز کرده و گزينه Paste را انتخاب نمائيد( شکل[3]). سپس، فايل ار ذخيره کنيد. ما در مثال خود از نام Index.php براي فايل استفاده مي کنيم. در بعضي از پيکربنديها، کد مرجع بصورت يک سند جديد در ويرايشگر متني شما باز خواهد شد که مي تواند با نام Index.php ذخيره سازي گردد. اين کار امکان کپي کردن سايت براي استفاده در حمله Phishing را براي ما فراهم مي سازد.

کيتهاي مختلفي از ابزارهاي Phishing وجود دارند که مي توانيد آنها را از سايتهاي Phishing زيرزميني بر روي اينترنت خريداري کنيد. ما در اين مثال به يک کيت Phishing استادانه نياز نخواهيم داشت، زيرا صرفاً مي خواهيم يک سايت را براي نمايش فرآيند مربوطه ايجاد کنيم، تمايلي به بارگذاري کد بدخواهانه نداريم و تنها اطلاعات Login را جمع آوري خواهيم کرد. براي تکميل سايت، ما تنها به يک اسکريپت PHP ساده ( شکل[4]) نياز خواهيم داشت که اطلاعات مورد نياز را ضبط کرده، سپس اعتبارنامه هاي کاربر را به سايت واقعي هدايت نموده و نهايتاً کاربر را به سايت واقعي هدايت خواهد کرد که در آنجا فرآيند Login تکميل مي شود. اين مراحل مانع از آن خواهند شد که کاربر حتي متوجه شود بر روي يک سايت جعلي Logon نموده است. اين فايل را با نام Login.php ذخيره کنيد.

حالا فايل Index.php را باز کرده و ترکيب کليدهاي CTRL+F را براي يافتن عبارت action= فشار داده و سپس کدي که با Login بر روي سايت سر و کار دارد را پيدا کنيد. متني که پس از علامت = قرار گرفته است را با login.php جايگزين نموده و سپس فايل را ذخيره کنيد( شکلهاي [5] و [6]). به اين ترتيب، فرآيند Login عادي صفحه مربوطه با يک مرجع به فايل PHP که خودمان ايجاد کرده بوديم جايگزين شده و امکان ضبط اعتبارنامه هاي کاربران را فراهم مي سازد.

آخرين قدم، ايجاد فايلي است که اطلاعات Log-in در آن ذخيره سازي خواهند شد. اينکار با ايجاد يک فايل متني خالي ساده و ذخيره سازي آن با نام passwords.txt انجام مي شود.

سپس، نوبت به پيام eMail مي رسد که بايد براي کاربران فرستاده شود، البته با در نظر گرفتن اين نکته مهم که eMail مورد نظر بايستي تا حد امکان رسمي بوده و حاوي يک لينک مخفي در پشت لينکي باشد که ظاهراً کاربر را به سايت واقعي هدايت مي کند. اکثر ويرايشگرهاي متني امکان اضافه نمودن لينکهاي Hypertext را با انتخاب ( Highlight) متني که به لينک Hypertext تبديل خواهد شد و سپس کليک راست بر روي آن فراهم مي کنند. اينکار بايد گزينه اي را براي درج لينک در اختيار شما قرار دهد. ما در اين مورد يک eMail پيام خطا را ايجاد خواهيم کرد که به تماس فني فرستاده خواهد شد. در اين eMail، فايروال يک پيام Fatal Error را براي سرپرست ارسال مي کند. ما با جستجو در اينترنت توانستيم ترکيبي( Syntax) که رسمي به نظر مي رسيد را بصورت FATAL ERROR:OpenPcap() FSM Compilation

?failed eth2 syntax error PCAP Command eth1 پيدا کنيم. شکل[7] مضمون eMail ما را نشان مي دهد، البته لينکي که مشاهده مي کنيد کاربر را به آدرس سايت جعلي ما هدايت خواهد نمود.

? مرحله بهره برداري
 

در اين نقطه ما صرفاً نياز داريم که فايلهاي مربوطه را بر روي سرورهاي وب خود بارگذاري کرده و پيامهاي eMail را ارسال نمائيم. روشهاي متعددي براي ارسال يک eMail فريبکارانه وجود دارند که هريک از آنها در اين مورد براي ارسال پيام به قرباني قابل قبول خواهند بود. فايلهائي که در مرحله توسعه ايجاد کرده ايم حالا بايد بر روي سروري که سايت جعلي ما را ميزباني مي نمايد بارگذاري شوند. ما در اين مثال آنها را به صفحه وب Root سرور Apache خود بارگذاري مي کنيم. فايلهاي بارگذاري شده عبارتند از login.php، index.php و passwords.txt.

اگر زاويه ديد خود را براي يک لحظه به موقعيت قرباني تغيير دهيم، پيام eMail را دريافت کرده و اگر کاملاً از تهديدهاي Phishing آگاهي نداشته باشيم احتمالاً بر روي لينک مربوطه کليک کرده و در صفحه فايروال جعلي Login خواهيم نمود( شکل [8]). توجه داشته باشيد که در اينجا نوار ابزار آدرس جعلي ما را بطور حفاظت نشده نمايش خواهد داد.

اگر قرباني اعتبارنامه هاي خود را بطور صحيح وارد کند، اين اطلاعات در فايل passwords.txt ذخيره خواهند شد( شکل [9]) و سپس او به سايت فايروال واقعي هدايت خواهد گرديد( شکل [10]).

? مرحله نظارت
 

حالا ما صرفاً بايد تغييرات فايل متني را براي جمع آوري اعتبارنامه هاي جديد بررسي نموده و سپس از آنها براي Log-on بر روي فايروال استفاده کنيم.

? مرحله خاتمه دهي
 

در انتهاي دو هفته، سايت جعلي رها شده و يا از روي سرور حذف خواهد شد. Phisher در اين نقطه بايد سايت ديگري را ايجاد کرده و مجدداً چرخه را آغاز نمايد.
همانطور که مي توانيد مشاهده کنيد، آگاه نمودن کاربران از خطرات Phishing، اهميت بسيار بالائي خواهد داشت. اگر کاربران آموزش نديده باشند، اجراي حملات Phishing براي مهاجم بسيار آسانتر خواهد بود.
منبع: بزرگراه رايانه، شماره 129
اضافه کردن نظر
نام:
پست الکترونيک:
نظرات کاربران:
کد امنیتی: تصویر امنیتیتغییر عکس
پست الکترونیک: info @ imencms . ir
پشتیبانی سیستم پیامک و فروش فایل تا ساعت ده شب: 09395510284
تمام کالا و خدمات این فروشگاه، دارای مجوزلازم از مراجع مربوط می‌باشد و فعالیت‌ این سایت تابع قوانین ومقررات جمهوری اسلامی ایران است.